摘要:
等保2.0一级安全要求 第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。 一、安全通用要求 1.1安全物理环境 1.1.1物理访问控制机房出入口应安排专人值守或配置电 阅读全文
摘要:
在操作一下步骤时,首先把yum源配置好,具体操作以下文章有详细说明 https://www.cnblogs.com/xiangbing123/p/13032699.html 安装环境需求 apache、mysql、php 1、安装apache并设置开启自启 一般在生产环境中每安装好一个服务,最好设置 阅读全文
摘要:
介绍: 一般我们安装一个软件时,有两种获取安装包方式,一是:包安装,二是:源码安装 今天我给大家分享的是本地源安装,linux给了我们很多安装包,但是有一些安装包需要挂载本地光盘,才能使用。 软件安装有两种方式: rpm安装,所有软件都会一.rpm的安装包存在,可以通过rpm命令来进行安装。缺点:会 阅读全文
摘要:
概念: 函数包含php文件的时候,由于没有对包含的文件名进行过滤处理或者处理不是太严谨,webb脚本可能允许客户端用户输入调用包含在服务器的文件,会导致恶意代码的执行以及敏感信息的泄露。 包含作用:问了更好的使用代码的复用性,引入了文件包含函数,可以通过文件包含函数文件包含进来,直接使用包含文件的代 阅读全文
摘要:
CSRF介绍: 跨站点请求伪造(cross site request forgery)是一种经典的昂罗攻击方式。尽管听起来和跨站脚本攻击很相似,但它与跨站脚本攻击非常不同,并且攻击方式几乎完全不一样,CSRF与XSS最大的区别在于,CSRF并没有盗取cookie而是直接利用。跨站脚本攻击利用站点内的 阅读全文
摘要:
介绍: 为什么文件上传存在漏洞 上传文件时,如果服务器代码未对客户端上传的文件进行严格的验证和过滤,就容易造成 可以上传任意文件的情况,包括上传脚本文件(asp、aspx、php、jsp 等格式的文件)。 ·危害 非法用户可以利用上传的恶意脚本文件控制整个网站,甚至控制服务器。这个恶意的脚本 文件, 阅读全文
摘要:
概念: 1、跨站脚本(Cross-Site Scripting),简称XSS或CSS或跨站脚本攻击,是一种针对网站应用程序的安全漏洞攻击技术,代码注入的一种。 2、XSS漏洞一直被认为是web安全中危害较大的漏洞,在owasp一直处于top3,而在对sql注入防范越来越严密的今天,xss也成了绝大部 阅读全文
摘要:
介绍: sqlmap是一个自动化的sql注入工具,其主要功能是扫描,发现并利用给定的URL进行sql注入,目前支持数据库有mysql、oracle、access、postagesql、sql server、sqlite等 sqlmap采用了五种独特的sql注入技术: 布尔类型的盲注,既可以根据返回页 阅读全文
摘要:
1、http头部注入分析 1、原理 一般获取头部的信息用于数据分析,通过请求头部可以向数据库发送查询信息,构造恶意语句可以对数据库进行信息查询。 下面是一个头部注入靶场地址,这次我们用pass-8进行演示 靶场:http://injectx1.lab.aqlab.cn:81/Pass-07/inde 阅读全文
摘要:
WAF 是什么? 全称 Web Application Firewall (WEB 应用防护系统),与传统的 Firewall (防火墙) 不同,WAF 针对的是应用层。 安全是一个不断对抗的过程,有防护手段,就有相应的绕过手段。 渗透测试过程中,WAF 是必定会遇到的,如何绕过 WAF 就是一个问 阅读全文